现在几乎各类网站都有接入短信验证码接口，在运营过程中，有不少人发现网站的短信验证码接口被攻击了，通常网络在线投票站（需要填写手机号码进行校验），用户在线注册页面的网站（包含手机短信验证功能）的短信验证码接口最容易被刷，因此这两类网站的运营人员需要特别做好防护。

    通常不法人员刷网站短信验证码接口主要有两种途径，一种是人工频繁点击；一种是通过软件连续点击，就危害性来说，软件连续点击的危害要大的多。短信验证码接口被恶意攻击一般主要用于短信轰炸。而短信轰炸的具体工作原理如下：

    1、恶意攻击者在前端页面中输入被攻击者的手机号；

    2、短信轰炸工具的后台服务器，将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合，形成可发送动态短信的URL请求；

    3、通过后台请求页面，伪造用户的请求发给不同的业务服务器；

    4、业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。

    图为 短信轰炸流程示例

    通常短信轰炸是基于WEB方式(基于客户端方式的原理与之类似)，由两个模块组成，包括:一个前端Web网页，提供输入被攻击者手机号码的表单；一个后台攻击页面(如PHP)，利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码，发送HTTP请求，每次请求给用户发送一个动态短信。

    那么当网站短信验证码接口被攻击时怎么办呢？可以阅读小编编辑的这篇文章，短信验证码接口被盗刷解决办法”。